Monitorando Host através de comportamento via OSSEC


Introdução

OSSEC é um sistema livre, de código aberto baseado em host de detecção de intrusão (HIDS). Realiza a análise de log, checagem de integridade, monitoramento do registro do Windows, detecção de rootkit, alerta baseado em tempo, e a resposta ativa. Ele fornece detecção de intrusão para a maioria dos sistemas operacionais, incluindo Linux, OpenBSD, FreeBSD, Mac OS X, Solaris e Windows. OSSEC tem uma arquitetura multi-plataforma centralizada permitindo que vários sistemas que podem ser facilmente monitorados e gerenciados.

O HIDS agregam uma série de vantagens por exemplo, podem impedir que ataques resultem em danos. Se um arquivo malicioso tentar reescrever um arquivo, o HID pode limitar seus privilégios e colocá-lo em quarentena. Os HIDs podem proteger notebooks ao serem retirados de uma rede e levados para o campo. Em última análise, os HIDs são uma ferramenta de "última linha de defesa", utilizada para repelir os ataques não detectados pelo NID.

Instalação

Faça o Download da VM no site oficial

wget http://www.ossec.net/files/ossec-virtual-appliance.tar.gz

Após o download finalizado descomprima a pasta:

tar -zxvf ossec_virtual_appliance.tar.gz
Acesse e verifique se os arquivos estão dentro da pasta abaixo:

cd ossec_virtual_appliance/

Execute o procedimento de importação padrão de VM para o hypervisor utilizado no local de implantação.

Inicie a VM

Login e Senha padrão para a utilização:

Login: USER / ROOT / OSSEC Web UI e phpMyAdmin
Senha: _0ssec_

Acesse o servidor como Root e altere a placa de rede para as configurações da rede interna.

Verifique se a plataforma web está funcional, acesse pelo browser o caminho abaixo:

http://ip_do_servidor/ossec-wui/


Login: user
Senha: _0ssec_

Ao conseguir acessar a plataforma web teremos a confirmação que o Servidor foi instalado corretamente.


Instalação do Agente HIDS em Linux
apt-get -y install build-essentials
cd /usr/src
wget http://www.ossec.net/files/ossec-hids-2.7.tar.gz

Descompacte o arquivo após o download finalizado:
tar -xzvf ossec-hids-2.7.tar.gz
cd ./ossec-hids-2.7

Execute a instalação:
/bin/bash ./install.sh

Escolha o idioma:
br
Informações do sistema serão mostradas em tela, confirme com  o “Enter”.


Selecione o tipo de instalação:
Agente ou Cliente
Escolha o diretório da instalação e confirme com o “Enter”:
/var/ossec
Configure o IP do servidor do OSSEC:
IP do Servidor
Confirme a opção de avaliação de Integridade:
y
Confirme a opção de Detecção de Rootkit:
y
Confirme a opção de Resposta Ativa(Active-Response)
y
Aguarde a instalação terminar e reinicie o agente:
/var/ossec/bin/ossec-control stop


/var/ossec/bin/ossec-control start
Acesse o controle para a importação da chave:
/var/ossec/bin/manage_agents
Selecione a opção de Importar:
I


Acesse o servidor, abra um terminal e execute os comandos abaixo como root:
/var/ossec/bin/manage_agents

Adicione o agente:

A

Insira o IP do Servidor do agente instalado:

IP_do_Agente

Selecione um ID para o agente remoto: (O software irá indicar o próximo ID disponível, caso o administrador exclua um agente o ID de referência ficará inutilizado.


Extraia a chave para o Agente adicionado:

E

Aparecerá a lista de agentes, selecione o ID e copie a saída da chave.



No Servidor Linux que o agente foi instalado

Cole a chave copiada do servidor, será solicitada a confirmação das informações como abaixo:

### Informação do Agente
### ID:
### Nome:
### Endereço de IP:

Confirme a adição do agente:

y

Reinicie os agentes do servidor e do cliente com o comando abaixo como “root”.

/var/ossec/bin/ossec-control stop


/var/ossec/bin/ossec-control start

Instalação do Agente HIDS em Windows

Faça o Download do arquivo abaixo no Windows a ser monitorado:

http://www.ossec.net/files/ossec-agent-win32-2.7.1.exe
  • Execute o arquivo como administrador;
  • Aceite a licença;
  • Confirme todos os componentes;
  • Confirme o caminho da instalação;
  • Ao finalizar selecione a opção executar o agente.

Acesse o servidor, abra um terminal e execute os comandos abaixo como root:

/var/ossec/bin/manage_agents

Adicione o agente:

A

Insira o IP do Servidor do agente instalado:

IP_do_Agente

Selecione um ID para o agente remoto: (O software irá indicar o próximo ID disponível, caso o administrador exclua um agente o ID de referência ficará inutilizado.


Extraia a chave para o Agente adicionado:

E

Aparecerá a lista de agentes, selecione o ID e copie a saída da chave.



No Servidor Windows que o agente foi instalado

  • Insira o IP do servidor OSSEC e copie a chave na caixa adequada.
  • Verifique e Confirme as informações da chave importada.
  • Acesse na barra de ferramentas “”View” e a opção “View Config”

Modifique a tag conforme abaixo:


<active-response>
    <disabled>yes<disabled>
</active-response>

0 comentários: